AWS Control Tower AWS アカウント での について - AWS Control Tower
既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項共有アカウントについて

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower AWS アカウント での について

AWS アカウント は、所有するすべてのリソースのコンテナです。これらのリソースには、アカウントによって受け入れられる AWS Identity and Access Management (IAM) ID が含まれ、そのアカウントにアクセスできるユーザーを決定します。IAM アイデンティティには、ユーザー、グループ、ロールなどがあります。AWS Control Tower で IAM、ユーザー、ロール、およびポリシーを使用する方法の詳細については、「AWS Control Tower の Identity and Access Management」を参照してください。

リソースとアカウントの作成時間

AWS Control Tower は、アカウントを作成または登録すると、そのアカウントに最低限必要なリソース設定をデプロイします。Account Factory テンプレート形式のリソースや、ランディングゾーン内のその他のリソースなどです。これらのリソースには、IAM ロール、 AWS CloudTrail 証跡、Service Catalog プロビジョニング製品、IAM Identity Center ユーザーなどがあります。AWS Control Tower は、コントロール設定に応じて、新しいアカウントがメンバーアカウントになることになっている組織単位 (OU) のリソースもデプロイします。

AWS Control Tower は、ユーザーに代わってこれらのリソースのデプロイをオーケストレートします。デプロイを完了するにはリソースごとに数分かかる場合があるため、アカウントを作成または登録する前に作業の合計時間を考慮してください。アカウントのリソースの管理の詳細については、「AWS Control Tower リソースの作成と変更に関するガイダンス」を参照してください。

既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項

をセキュリティアカウントまたはログ記録アカウント AWS アカウント として受け入れる前に、AWS Control Tower はアカウントをチェックして、AWS Control Tower の要件と競合するリソースがないかどうかを確認します。例えば、ロギングバケットの名前が AWS Control Tower が必要とする名前と同じである場合があります。また、AWS Control Tower は、アカウントがリソースをプロビジョニングできることを検証します。たとえば、 AWS Security Token Service (AWS STS) が有効になっていること、アカウントが停止されていないこと、AWS Control Tower がアカウント内でリソースをプロビジョニングするアクセス許可を持っていることを確認します。

AWS Control Tower は、お客様が指定したログアカウントやセキュリティアカウント内の既存のリソースを削除しません。ただし、 AWS リージョン 拒否機能を有効にすると、リージョン拒否コントロールは拒否されたリージョンのリソースへのアクセスを禁止します。

共有アカウントについて

管理アカウント、監査アカウント、ログアーカイブアカウントの 3 つの特別な AWS アカウント が AWS Control Tower に関連付けられています。これらのアカウントは通常、共有アカウントと呼ばれ、場合によってはコアアカウントと呼ばれることもあります。

  • ランディングゾーンのセットアップ時に、監査アカウントとログアーカイブアカウントの名前をカスタマイズすることを選択できます。アカウント名の変更については、「AWS Control Tower の外部でのリソース名の変更」を参照してください。

  • 最初のランディングゾーンのセットアッププロセス中に、既存の を AWS Control Tower セキュリティまたはログ記録アカウント AWS アカウント として指定することもできます。このオプションを使用すると、AWS Control Tower で新しい共有アカウントを作成する必要がなくなります (これは 1 回限りの選択です)。

共有アカウントおよび関連リソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

管理アカウント

これにより、AWS Control Tower が AWS アカウント 起動します。デフォルトでは、このアカウントのルートユーザーおよびこのアカウントの IAM ユーザーまたは IAM 管理者ユーザーは、ランディングゾーン内のすべてのリソースへのフルアクセス権を持っています。

注記

ベストプラクティスとして、AWS Control Tower コンソール内で管理機能を実行するときには、このアカウントのルートユーザーまたは IAM 管理者ユーザーとしてサインインするのではなく、管理者権限を持つ IAM Identity Center ユーザーとしてサインインすることをお勧めします。

管理アカウントで使用できるロールとリソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

ログアーカイブアカウント

ログアーカイブ共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

このアカウントには、ランディングゾーン内の他のすべてのアカウントのすべての AWS CloudTrail と AWS Config ログファイルのコピーを保存するための中央 Amazon S3 バケットが含まれています。ベストプラクティスとして、ログアーカイブアカウントへのアクセスを制限することをお勧めします。コンプライアンスと調査を担当し、それに関連するセキュリティツールまたは監査ツールを使用するチームに制限します。このアカウントは、自動セキュリティ監査、または Lambda 関数 AWS Config ルールなどのカスタムをホストして修復アクションを実行するために使用できます。

Amazon S3 バケットポリシー

AWS Control Tower ランディングゾーンバージョン 3.3 以降では、アカウントは監査バケットへの書き込みアクセス許可のために、aws:SourceOrgID 条件を満たす必要があります。この条件によってのみ、CloudTrail は組織内のアカウントに代わってお客様の S3 バケットへログを書き込めるようになり、組織外の CloudTrail ログによるお客様の AWS Control Tower S3 バケットへの書き込みを防ぎます。詳細については、「AWS Control Tower ランディングゾーンバージョン 3.3」を参照してください。

ログアーカイブアカウントで使用可能なロールとリソースの詳細については、「ログアーカイブアカウントのリソース」を参照してください。

注記

これらのログは変更できません。アカウントアクティビティに関連する監査とコンプライアンス調査の目的で、すべてのログが保存されます。

監査アカウント

この共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

監査アカウントは、セキュリティとコンプライアンスのチームに制限することをお勧めします。チームは、ランディングゾーン内のすべてのアカウントに対して監査人 (読み取り専用) と管理者 (フルアクセス) というアカウント横断的なロールを持ちます。このようなロールは、セキュリティとコンプライアンスのチームが次の目的で使用するためのものです。

  • カスタム AWS Config ルール Lambda 関数のホスティングなどの AWS メカニズムを使用して監査を実行します。

  • 修復アクションなど、自動化されたセキュリティ操作を実行します。

また、監査アカウントは Amazon Simple Notification Service (Amazon SNS) サービスから通知を受け取ります。次の 3 つのカテゴリの通知を受け取ることができます。

  • すべての設定イベント – このトピックでは、ランディングゾーン内のすべてのアカウントからのすべての CloudTrail と AWS Config 通知を集計します。

  • セキュリティ通知の集約 — このトピックでは、特定の CloudWatch イベント、 AWS Config ルール コンプライアンスステータス変更イベント、および GuardDuty 検出結果から受け取ったすべてのセキュリティ通知が集約されます。

  • ドリフト通知 - このトピックでは、ランディングゾーン内のすべてのアカウント、ユーザー、OU、および SCP で検出されたすべてのドリフト警告が集約されます。ドリフトの詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。

メンバーアカウント内でトリガーされる監査通知では、ローカルの Amazon SNS トピックにアラートを送信することもできます。この機能により、アカウント管理者は個々のメンバーアカウントに固有の監査通知をサブスクライブできます。そのため、管理者は個々のアカウントに影響する問題を解決しながら、一元管理された監査アカウントにすべてのアカウント通知を集約できます。詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

監査アカウントで使用できるロールとリソースの詳細については、「アカウントリソースを監査する」を参照してください。

プログラムによる監査の詳細については、「Programmatic roles and trust relationships for the AWS Control Tower audit account」を参照してください。

重要

監査アカウントに指定した E メールアドレス宛てに、AWS Control Tower でサポートされているすべての AWS リージョン から「AWS 通知 – サブスクリプションの確認」という件名の E メールが届きます。監査アカウントでコンプライアンス E メールを受信するには、AWS Control Tower で AWS リージョン サポートされている各 E メールから、各 E メール内のサブスクリプションの確認リンクを選択する必要があります。